身份文件验证

技术领域

本发明涉及身份文件验证，并且特别地涉及由出入境机构在机场、海港和其他边境过境处对身份文件诸如护照进行验证。

背景技术

在航空运输业中，当乘客从一个国家旅行到另一国家时，存在如何处理通过出入境的乘客的长期问题。传统上，要求乘客在被允许进入国家之前向出入境官员出示护照或其他身份文件以便进行检查。这个过程是耗时的，并且在由乘客到达的国家政府提供的装备或者人力两者方面需要相当多的资源。在提高安全性的时候，执行护照检查花费更长的时间，并且在高峰期诸如在暑假期间，乘客量急剧上升。这两个因素对出入境系统提出了很高的要求，并且可能导致长队列的乘客，从而导致乘客不满。

最近，一些政府已经引入了生物特征护照，有时被称为电子护照，其中护照持有人的详细资料以可以以能够被机器读取的形式以电子方式存储。所存储的详细资料是打印在护照的数据页上的数据：持有者的姓名、出生日期、出现在护照上的持有人的照片的数字表示、其他传记信息和生物特征标识符。

生物特征护照具有这样的优势，即，它们能够使用自动边境控制(automatedborder control，ABC)，自动边境控制使用电子门和面部识别软件。乘客出示他们的护照以便进行扫描，并且门然后扫描他们的面部，并且针对护照上存储的护照的数字图像进行匹配。如果图像匹配，并且其他个人数据得到验证，门打开并且乘客可以前进。

虽然生物特征护照已经实现了机场出入境处的排队时间方面的减少和人员配备数量方面的减少，但它们仍然相对较慢并且需要相当多的资本支出。该行业已经认识到改进出入境过程同时保持高水平的安全性的普遍需要。

在这些举措当中，考虑为乘客提供数字身份令牌的那些举措。一个已知的示例是自主身份(Self-Sovereign Identity，SSI)，这在以下参考文献中进行描述：https://bitsonblocks.net/2017/05/17/a-qentle-introduction-to-self-sovereiqn-identity/https://soyrin.orq/wp-content/uploads/2017/06/The-lnevitable-Rise-of-Self-Sovereiqn-ldentity.pdf

自主身份依赖于三个基本构思：声明、证明和认证。声明是人或企业对身份进行的主张，例如“my name is Peter,I was born on 14May 1956(我的名字是Peter，我出生于1956年5月14日)”。证明是为声明提供证据的某种形式的文件。证明以各种格式出现。通常对个人来说，证明可以包括护照、出生证明、公共设施账单的复印件或原始文件。对公司来说，证明可以包括一套公司注册和股权结构文件。认证是第三方确认，即，根据他们的记录，声明是真实的。例如，大学可以证实这样的事实，即某个人在那里学习并获得学位。来自权威机构的证明比可能是伪造的证明更可靠。然而，认证成为机构的负担，因为信息可能是敏感的。这意味着需要维护信息，使得只有特定的人可以访问它。

使用SSI，政府可以向个人签发声明。个人将存储他或她的声明的证明，并且然后通过共享声明来向第三方提供该证明。在数字环境中，证明可以被存储在设备诸如移动电话、平板电脑或计算机上，并且第三方可以通过对其进行数字签名来验证声明。通过该签名，他们验证声明是由政府签发、该声明没有被篡改、并且声明被签发给特定个人。第三方不需要向回参考声明的原始签发者以便提供验证。

打印的护照可以被视作SSI。声明由政府签发，并且护照文件是由出入境官员认证的证明，出入境官员手动地或以电子的方式检查文件以验证其真实性。

在数字环境中，在验证到达出入境处的人是与拥有声明的人是同一人时存在问题。在存储在智能设备上的声明的示例中，该设备可能已被盗，或者声明持有人之外的某个人可能能够访问声明。

本发明旨在解决这个问题。

发明内容

根据本发明的第一方面，提供了一种授权身份文件的持有者的方法，包括以下步骤：为持有者提供去中心化身份；向持有者提供与身份文件相关的经数字签名的生物特征数据，该生物特征数据由信任锚签名并且被确认为被签发给去中心化身份，该生物特征数据包括持有者的图像；在持有者旅行之前，将持有者的去中心化身份和包括图像的生物特征数据提供给负责持有者的许可的机构以用于验证，并且在验证时，持有者从该机构接收授权；在持有者到达时，捕获持有者的图像；将持有者的图像与由机构授权的多个持有者的图像进行匹配；并且在成功匹配时，向持有者授予许可。

在一个实施例中，授权持有者的缩减集合是根据由机构授权的多个持有者形成的，并且将持有者的图像与授权持有者的缩减集合的图像进行匹配。

在一个实施例中，形成授权持有者的缩减集合的步骤基于多个持有者中的每一个在图像捕获点处的预测到达时间。

在一个实施例中，每个持有者的预测到达时间是根据持有者在目的地的到达时间、从到达点到图像捕获点的行走时间和持有者的年龄概况中的至少一个来计算。

在一个实施例中，到达时间是飞机的到达时间，并且预测到达时间进一步根据飞机上的持有者的座位号来计算。

在本发明的一个实施例中，形成持有者的缩减集合的步骤由机器学习引擎执行，并且机器学习引擎连续预测各个持有者将何时到达图像捕获点。

机器学习引擎还可以管理持有者的缩减集合的大小。

在一个实施例中，向持有者授予许可的步骤包括允许持有者通过自动边境控制门。

在一个实施例中，将持有者的去中心化身份和包括图像的生物特征数据提供给负责持有者的许可的机构以用于验证的步骤包括与高级乘客信息系统(Advanced PassengerInformation System，APIS)数据一起提供持有者的去中心化身份。

由持有者接收的来自机构的授权可以在其他智能设备的移动电话上接收。

在一个实施例中，提供经数字签名的生物特征数据的步骤包括由信任锚将持有者去中心化身份写入到区块链。

在一个实施例中，提供经数字签名的生物特征数据的步骤包括：捕获生物特征数据和其他持有者文件数据、使用自主身份加密对数据进行数字签名、并且基于持有者的去中心化身份向持有者签发经数字签名的数据的副本。经数字签名的数据的副本可以被发送到持有者的智能设备和/或被存储在云代理处。

在一个实施例中，提供经数字签名的生物特征数据的步骤包括捕获持有者的增强的生物特征数据，并且提供所述增强的生物特征数据与身份文件数据以便由信任锚进行签名。增强的生物特征数据可以包括持有者的多个图像、持有者的3D图像、持有者的红外图像和持有者的虹膜扫描中的一个或多个。

在一个实施例中，捕获增强的生物特征数据的步骤包括持有者向信息亭提供他们的去中心化标识符，该信息亭从在去中心化标识符中指定的位置获得去中心化标识符的验证，该验证包括包含持有者的图像的身份文件数据。信息亭可以将从指定位置接收的数据确认为被签发给持有者的去中心化标识符并且没有被篡改。信息亭可以通过获得持有者的图像并且将该图像与经验证的身份文件数据中的持有者的图像进行匹配来确认持有者。

本发明的这个方面还提供了一种授权身份文件的持有者的系统，包括：身份提供器，该身份提供器用于为持有者提供去中心化身份；用于向持有者提供与身份文件相关的经数字签名的生物特征数据的装置，该生物特征数据由信任锚签名并且被确认为被签发给去中心化身份，该生物特征数据包括持有者的图像；用于在持有者旅行之前将持有者的去中心化身份和包括图像的生物特征数据提供给负责持有者的许可的机构以用于验证并且在验证时持有者从该机构接收授权的装置；图像捕获系统，该图像捕获系统用于在持有者到达时捕获持有者的图像；图像匹配系统，该图像匹配系统用于将持有者的图像与由该机构授权的多个持有者的图像进行匹配；以及控制门，该控制门用于在成功匹配时向持有者授予许可。

本发明的第二方面提供了一种授权身份文件的持有者通过出入境控制的方法，该持有者具有基于生物特征数据和由出入境机构验证的去中心化身份的预授权，该方法包括：捕获持有者的图像；根据由机构授权的多个持有者形成授权持有者的缩减集合，该缩减集合由机器学习引擎形成，该机器学习引擎连续预测各个持有者将何时到达图像捕获点；将持有者的图像与由机构授权的授权持有者的缩减集合的图像进行匹配；并且在成功匹配时，向持有者授予许可。本发明的第三方面提供了一种预授权身份文件的持有者以便进行旅行的方法，包括以下步骤：为持有者提供去中心化身份；向持有者提供与身份文件相关的经数字签名的生物特征数据，该生物特征数据由信任锚签名并被确认为被签发给去中心化身份，该生物特征数据包括持有者的图像，提供经数字签名的生物特征数据包括持有者向信息亭提供他们的去中心化标识符，该信息亭从在去中心化标识符中指定的位置获得去中心化标识符的验证，该验证包括包含持有者的图像的身份文件数据；在持有者旅行之前将持有者的去中心化身份和包括图像的生物特征数据提供给负责持有者的许可的机构以用于验证，并且在验证时持有者从该机构接收授权。

附图说明

现在将仅通过示例的方式并且参考附图来描述本发明的实施例，在附图中：

图1是提供本发明的实施例的总体概述并且示出本发明的三个独立方面的流程图；

图2示出了签发声明的过程；

图3示出了用于签发增强的生物特征声明的过程；

图4示出了乘客的事先授权；以及

图5示出了到达机场时的乘客流量。

具体实施方式

图1示出了本发明的实施例中的主要步骤。这是示例性实施例，并且不是所有的步骤对本发明来说都是必需的。方法100在步骤102以捕获增强的生物信息开始，如下文更详细描述的那样。然后，在步骤104，声明由具有增强的生物特征信息的其他机构的政府机关签发。在乘客到达机场时，在步骤106，这些声明与到达国的政府的出入境官员共享。在步骤108，使用算法来限制一个到多个生物特征匹配，对于将到达的乘客与所有可能被批准的乘客进行匹配，该一个到多个生物特征匹配是必要的。这导致在112处的预测的乘客集合，该预测的乘客集合例如被自动边境控制门用来在这些乘客进入门时针对乘客执行生物特征匹配。下面将更详细地描述这些步骤。

图2更详细地示出了上面图1的步骤102和步骤104。目前，印刷在护照上并数字化在生物特征护照中的护照照片具有相对低的分辨率。它们包括持有人的单个照片，这限制了图像对于面部匹配的有用性。在本发明的实施例中，用多个图像、3维面部捕捉、一个或多个红外图像或虹膜扫描中的一个或多个代替单个护照照片。多个图像包括从各种角度——例如但不限于正面、左手侧、右手侧、正面下方和正面上方——拍摄的图像。

这些图像——无论是否是多个——可以具有高分辨率，并且每个图像是由护照签发机构进行数字签名的，并且作为声明签发给个人护照持有人。

可以使用在机场处的专用信息亭来生成增强质量的图像。一个这种合适的信息亭是申请人的SITA Airport Connect

替代性地，乘客可以将自己出示给政府代理以便进行处理或从合适的第三方资源获得然后可以被出示的图像。然而，一旦获得图像，增强的生物特征——作为上面描述类型的一个或多个图像——由政府或其他签发机构使用已知的自主身份处理进行数字签名，并且将声明签发给乘客以存储在他们的移动计算设备上，该移动计算设备可以是膝上型计算机、智能电话、平板电脑或其他合适的设备。

图2更详细地示出了这个过程，其中签发机构是英国边境检察署(UK BorderForce)，这是负责维护英国边境的英国政府机关。在这个过程中，英国边境检察署在SSI的语境下理解时是网络上的信任锚，并且被授权签发声明并且向网络写入数据。

在图2中，该过程通常在200处示出。在202，乘客使用上面描述的技术中的一个创建DID。这个DID以方便的形式，例如作为2D条形码、QR码或其他字形被出示给英国边境检察署，英国边境检察署将在204处扫描该2D条形码、QR码或其他字形，并且在206处将其写入区块链。

在这个示例中，英国边境检察署或其他政府或机构扫描乘客的护照，从而捕获存储在护照上的生物特征数据，该生物特征数据可以包括一个或多个面部图像、虹膜扫描和/或其他生物特征数据以及标准的ICAO(国际民用航空组织，International CivilAviation Organisation)护照数据诸如姓名、护照数据、国籍、到期日期等。在步骤208，使用已知的SSI加密对该数据进行数字签名，并且将这个数据的副本签发给乘客以便在210存储在他们的智能设备上。这个步骤是通过将数据发送到由乘客的DID标识的FITTP RESTAPI来执行的。数据可以通过其他方法诸如安全电子邮件、安全文件传输协议或作为MQSeries Queue发送，并且这些方法中的每一个仅仅是示例性的。在图2的示例中，这在212处示出为云代理htpsi//soyrinaqent.sita.aero。云代理212然后将数据转发给乘客的智能设备210和/或将副本存储在云代理212中。

因此，乘客在这个阶段具有政府签发的他们的护照的详细信息的数字副本，这可以被用于断定乘客的身份。任何其他政府或合适的机构可以请求对该数据进行验证，并且可以验证该数据是由给定的签发机构——在本示例中是英国边境检察署——签发的、数据签发给由DID标识的乘客、并且该数据没有被篡改。

上面描述了获得更高分辨率的生物特征数据的期望。在已经描述了DID过程的情况下，现在可以更详细地对其进行描述。以下描述假设乘客已经获得政府签发的自主护照身份(DID)。该过程在图3的流程图中示出。

在步骤300，乘客接近上面提及的类型的信息亭，并且出示他们的DID。如上面提及的那样，这可以通过出示来自应用程序的条形码以便扫描来完成。其他方法也是可能的，例如，通过近场通信或类似的通信协议来传输DID。在步骤302，信息亭将针对这个DID请求护照数据的验证证明。该请求被签发到在DID中指定的云代理212(图2)。云代理然后将护照数据发送到信息亭，该数据包括乘客的照片。在步骤304，由信息亭从云代理接收数据，并且然后信息亭验证数据来自有效的签发机构，在这个示例中来自有效的政府签发机构。它还验证了数据已被签发给特定的乘客DID，并且其没有被篡改。

在步骤306，信息亭然后将站在信息亭处的乘客确认为是DID与其有关的乘客。这是通过执行生物特征匹配来完成的，例如通过扫描乘客的面部并且将获取的图像与护照图像进行匹配。这是一对一的匹配，并且因此可以快速执行。

在步骤308，信息亭然后进行另外的生物特征捕获。如上面提及的那样，这些可以是多个较低分辨率图像、多个较高分辨率图像、来自不同角度的图像、3D图像或红外图像。可以获取其他类型的生物特征数据，例如虹膜扫描。

在310，所获取的生物特征数据由信息亭数字签名，并且在步骤312，经签名的数据作为被签发为乘客的声明集合。

在这个过程结束时，乘客现在具有与他们的DID和护照数据相关联的高分辨率生物特征的集合。如下面描述的那样，这些图像稍后可以在出入境点处使用，以改善面部匹配过程。然而，相对于图3描述的高分辨率生物特征的获取和使用对于本发明来说不是必需的。

返回参考图1，图2和图3的描述涉及图1中的步骤102和步骤104。下一步骤106在到达港口处与政府共享声明。当然，这是在不同于签发护照和DID的政府的国家。

在这个描述中，给定的示例是机场。然而，本发明的实施例可以应用于通过包括船舶、汽车和铁路的任何交通方式在国家之间旅行，因为本文描述的技术不适用于交通模式而是适用于出入境过程。

在航空旅行的情况下，当在航空公司APIS(高级乘客信息系统)上进行预订时，必须提供数据。APIS数据包括护照信息、出生数据、到达时地址等。在本发明的实施例中，乘客的去中心化标识符(DID)被共享为APIS数据的一部分。这是到达方政府可以查询以请求护照数据声明的证明的URL终点。到达方政府可以在旅行前验证这些数据，并且向乘客签发授权以通过预批准的出入境通道，其如下面描述的那样包括生物特征匹配。

这个过程在图4中示出。在步骤400，乘客提交包括他们的DID的APIS信息。在步骤402，该数据被存储在可以由到达方政府访问的URL处。在步骤404，到达方政府——其知道排程进入其国家的航班——查询URL以请求护照数据声明的证明。在步骤406，政府在飞行前验证这个数据，并且在步骤408向乘客签发授权以在出入境时使用预批准通道。这个授权可以呈任何方便的形式，并且可以是例如可以在出入境时扫描以取得进入预批准通道的条形码。这个授权是返回给乘客的证明他们有权进入该国的另一个声明。

返回参考图1，最后阶段包括步骤108至112。到达方政府现在实际上已经具有乘客的护照的数字副本，并且已经验证了它是有效的。最后的步骤是在乘客通过出入境大厅时针对乘客进行面部(或其他生物特征匹配)。一个选项是使用上面描述的技术中的任何一个扫描乘客的图像，例如简单的低分辨率照片、多个图像、高分辨率红外线等，并且将这个扫描与预先批准的乘客数据库进行比较。然而，这样的数据库可能包含数百万张图像，并且期望的是克服较大的一对多匹配的问题，因为这可能很慢，这可能很慢或不准确。由于出入境程序具有高安全性的要求即高准确性，以及低排队时间，这是不期望的。

即使一对多扫描仅限于已知在给定的一天到达的乘客，问题仍然很严重。以美国亚特兰大机场(Atlanta Airport USA，ATL)为示例，对于2017年7月(请参阅T prric-Report-Julv-2017.pdf)有近600,000次国际到达。平均到每天大约20,000。这太多了以至于无法进行一对多匹配。我们已经认识到，这个问题可以通过预测乘客将何时到达出入境点使得仅针对尽可能少的乘客进行生物特征匹配来解决。

在给定航班实际到达时间、登机口号码、飞机类型、座位号、年龄概况和其他类似因素的情况下，可以预测乘客将何时到达出入境点。使用这种预测，可以限制生物特征将必须针对其进行匹配的乘客的数量，从而提高解决方案的速度、准确性和可靠性。

因为乘客现在已经被到达方政府签发声明，乘客可以使用自动边境控制门(ABC门)或其中在乘客进入门时进行生物特征匹配的类似屏障。匹配将通过在门处拍摄个人的照片，并且将其与已知的预批准的乘客集合进行匹配来完成。限制这个已知乘客集合的大小很重要。然而，与现有的ABC使用相反，门保持打开，并且只有在生物特征匹配不是肯定的情况下将关闭。这大大加快了乘客通过出入境区的速度。在另一实施例中，门将被关闭，但在乘客靠近门时打开。在另一实施例中，乘客将沿着走廊行走，并且由边境安全人员使用远程监视器进行监视。在系统识别乘客时，乘客的图像被标注在屏幕上，例如，它标记乘客使得边境工作人员只需阻止未被识别的人。

如果准确地知道乘客将何时到达出入境处，则可以通过只包括将到达出入境处的乘客并且不包括还未到达机场或仍正在走向出入境处的乘客，来减少这个ID集合的大小以便进行匹配。这是使用以下因素来预测乘客何时到达的多步骤机器学习过程：

到达门处的实际时间；

从门到出入境站的行走时间；

座位号；

乘客的年龄概况。

可以使用其他因素，并且这个列表仅仅是示例性的。例如，机票等级可以用于标识乘坐头等舱或公务舱的乘客，因为这些乘客可能会先下飞机并且因此更早到达出入境处。

到达过程在图5中示出。在步骤500，航班到达并且乘客下机。乘客走向出入境处，并且数据被馈送到机器学习(Machine Learning)引擎。在步骤502，ML引擎连续预测乘客将何时到达出入境处并且管理要匹配的乘客集合的大小。当在步骤504乘客到达出入境处时，他们走向ABC门，在那里生物特征将被获取并且与预测的乘客集合进行匹配，因此确保乘客的快速匹配和最小延迟。匹配过程是特定于给定乘客的并且在乘客走出飞机时开始，系统从上面描述的出航前的步骤知道到乘客在飞机上。

图5中示出的过程是可选的，并且对本发明来说不是必需的。事实上，在具有较低乘客量的机场——在那里不需要匹配集的减少用于快速匹配，可能不需要这样做。

已经关于特定实施例描述了本发明，并且在不脱离由以下权利要求限定的本发明的范围的情况下，许多变化是可能的。